Secure Code Wiki: een web van goede praktijken voor veilig coderen
Voor de vooruitgang van Kennis en onderwijs, En de Wetenschap en technologie Over het algemeen is het altijd van het grootste belang geweest om het betere en effectievere acties, maatregelen of aanbevelingen (Goede oefeningen) om het uiteindelijke doel te bereiken van, tot bloei brengen elke activiteit of proces.
En programmering of Software ontwikkeling Net als elke andere IT- en professionele activiteit heeft het zijn eigen "Goede oefeningen" geassocieerd met vele sferen, vooral die gerelateerd aan cybersecurity van de geproduceerde softwareproducten. En in deze post zullen we er enkele presenteren «Goede veilige coderingspraktijken », van een interessante en nuttige website genaamd "Secure Code Wiki", zo veel over Ontwikkelingsplatforms vrij en open, als privé en gesloten.
Licenties voor de ontwikkeling van gratis en open software: goede praktijken
Voordat we op het onderwerp ingaan, zullen we, zoals gewoonlijk, later enkele links achterlaten naar eerdere publicaties die betrekking hebben op het onderwerp «Goede praktijken bij programmeren of softwareontwikkeling ».
"... Goede praktijken die zijn bedacht en verspreid door de "Code voor ontwikkelingsinitiatief" van de Inter-Amerikaanse Ontwikkelingsbank, over de reikwijdte van Licentie Software, waarmee rekening moet worden gehouden bij het ontwikkelen van softwareproducten (digitale tools), vooral gratis en open." Licenties voor de ontwikkeling van gratis en open software: goede praktijken
Secure Code Wiki: Good Secure Coding Practices
Wat is Secure Code Wiki?
Zoals het WebSite:
"Secure Code Wiki is het resultaat van veilige coderingspraktijken voor een breed scala aan talen."
En jij bent goede praktijken en de website van "Secure Code Wiki" zijn gemaakt en onderhouden door een Indiase organisatie genaamd Payatus.
Voorbeelden van goede praktijken per type programmeertaal
Aangezien de website in het Engels is, zullen we er enkele laten zien voorbeelden van veilige codering over verschillende programmeertalen, sommige gratis en open, en andere privé en gesloten, aangeboden door genoemde website voor verken het potentieel en de kwaliteit van inhoud geladen.
Daarnaast is het belangrijk om dat te benadrukken Goede oefeningen weergegeven op de Ontwikkelingsplatforms in aansluiting op:
- . NET
- Java
- Java voor Android
- Kotlin
- NodeJS
- Doelstelling C
- PHP
- Python
- Ruby
- Swift
- WordPress
Ze zijn onderverdeeld in de volgende categorieën voor bureaubladtalen:
- A1 - Injectie (Injectie)
- A2 - Authenticatie verbroken (Gebroken authenticatie)
- A3 - Blootstelling van gevoelige gegevens (Gevoelige gegevensblootstelling)
- A4 - XML externe entiteiten (XML externe entiteiten / XXE)
- A5 - Defecte toegangscontrole (Gebroken toegangscontrole)
- A6 - Deconfiguratie van de beveiliging (Beveiligingsfoutconfiguratie)
- A7 - Cross-site scripting (Cross-site scripting / XSS)
- A8 - Onveilige deserialisatie (Onveilige deserialisatie)
- A9 - Gebruik van componenten met bekende kwetsbaarheden (Componenten met bekende kwetsbaarheden gebruiken)
- A10 - Onvoldoende registratie en toezicht (Onvoldoende logboekregistratie en monitoring)
En ook onderverdeeld in de volgende categorieën voor mobiele talen:
- M1 - Oneigenlijk gebruik van het platform (Onjuist platformgebruik)
- M2 - Onveilige gegevensopslag (Onveilige gegevensopslag)
- M3 - Onveilige communicatie (Onveilige communicatie)
- M4 - Onveilige authenticatie (Onveilige authenticatie)
- M5 - Onvoldoende cryptografie (Onvoldoende cryptografie)
- M6 - Onveilige autorisatie (Onveilige autorisatie)
- M7 - Kwaliteit klantcode (Kwaliteit klantcode)
- M8 - Code manipulatie (Code sabotage)
- M9 - Reverse Engineering (Reverse engineering)
- M10 - Vreemde functionaliteit (Vreemde functionaliteit)
Voorbeeld 1: .Net (A1- Injection)
Het gebruik van een object relationele mapper (ORM) of opgeslagen procedures is de meest efficiënte manier om het beveiligingslek met betrekking tot SQL-injectie tegen te gaan.
Voorbeeld 2: Java (A2 - Authenticatie verbroken)
Implementeer waar mogelijk multi-factor authenticatie om geautomatiseerde aanvallen op inloggegevens, brute kracht en hergebruik van gestolen inloggegevens te voorkomen.
Voorbeeld 3: Java voor Android (M3 - onveilige communicatie)
Het is absoluut noodzakelijk om SSL / TLS toe te passen op de transportkanalen die door de mobiele applicatie worden gebruikt om gevoelige informatie, sessietokens of andere gevoelige gegevens naar een back-end-API of webservice te verzenden.
Voorbeeld 4: Kotlin (M4 - Onveilige authenticatie)
Vermijd zwakke patronen
Voorbeeld 5: NodeJS (A5 - Slechte toegangscontrole)
De toegangscontroles van het model moeten het eigendom van de records afdwingen, in plaats van dat de gebruiker een record kan maken, lezen, bijwerken of verwijderen.
Voorbeeld 6: Doelstelling C (M6 - Autorisatie onveilig)
Toepassingen moeten het gebruik van raadbare getallen als identificerende referentie vermijden.
Voorbeeld 7: PHP (A7 - Cross-site scripting)
Codeer alle speciale tekens met htmlspecialchars () of htmlentities () [als het zich binnen html-tags bevindt].
Voorbeeld 8: Python (A8 - Onveilige deserialisatie)
De augurk- en jsonpickle-module is niet veilig, gebruik deze nooit om niet-vertrouwde gegevens te deserialiseren.
Voorbeeld 9: Python (A9 - Componenten met bekende kwetsbaarheden gebruiken)
Voer de applicatie uit met de minst geprivilegieerde gebruiker
Voorbeeld 10: Swift (M10 - Vreemde functionaliteit)
Verwijder verborgen achterdeurfunctionaliteit of andere interne beveiligingsmaatregelen voor ontwikkeling die niet bedoeld zijn om te worden vrijgegeven in een productieomgeving.
Voorbeeld 11: WordPress (XML-RPC uitschakelen)
XML-RPC is een WordPress-functie die gegevensoverdracht tussen WordPress en andere systemen mogelijk maakt. Tegenwoordig is het grotendeels vervangen door de REST API, maar het is nog steeds opgenomen in de installaties voor achterwaartse compatibiliteit. Indien ingeschakeld in WordPress, kan een aanvaller onder andere brute force, pingback-aanvallen (SSRF) uitvoeren.
Conclusie
We hopen dit "handige kleine post" over de website genaamd «Secure Code Wiki», die waardevolle inhoud biedt met betrekking tot «Goede veilige coderingspraktijken »; is van groot belang en nut voor het geheel «Comunidad de Software Libre y Código Abierto» en een grote bijdrage aan de verspreiding van het prachtige, gigantische en groeiende ecosysteem van toepassingen van «GNU/Linux».
Voor nu, als je dit leuk vond publicación, Stop niet deel het met anderen, op uw favoriete websites, kanalen, groepen of gemeenschappen van sociale netwerken of berichtensystemen, bij voorkeur gratis, open en / of veiliger als Telegram, Signaal, Mastodont of een ander van Fediverse, bij voorkeur.
En vergeet niet om onze homepage te bezoeken op «DesdeLinux» om meer nieuws te ontdekken en om lid te worden van ons officiële kanaal van Telegram van DesdeLinux. Terwijl u voor meer informatie een bezoek kunt brengen aan Online bibliotheek als OpenLibra y jedit, om digitale boeken (pdf's) over dit of anderen te openen en te lezen.
Interessant artikel, het zou verplicht moeten zijn voor elke ontwikkelaar ..